Перейти к содержанию

Recommended Posts

DaTa
Вы не путаете часом вирусные базы и облачный детект, который в самом деле идет по хэшу?

Нет, ничего я не путаю. попробуйте скормить продуку Symantec вредоносный файл(не файловый инфектор, у них там другой детект) и поправте 1 байт в файле, затем скормите другой раз. PROFIT?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Базы есть и их не мало, всего около 13 милионов. Сдесь дело не в базе и количестве сигнатур, а в самих сигнатурах. Почти все сигнатуры - это хеш-сума сделаная при использовании алгоритма SHA-256.

1218834686550.jpg

post-3736-1315979479_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa

Если чесно, Umnik, то после своей находки я и сам был шокирован, я как никак пользователь NIS. А побудил меня на тесты, один из постов Александра Гостева в теме о фолсах АВ продуктов на тестовые утилиты. Я не тестировал только Generic сигнатуры, возможно что там другой метод составления(так и должно быть).

Можеть быть мне просто не повезло, и я попадал на все сигнатуры сделаные роботом,

Но есть и плюсы, например Symantec Online Network for Advanced Response(SONAR), Insight. Они позволяют себя чувствовать спокойнее при серфинге, а Safe Web очень удобна для хранения и управлениями паролями для автозаполнения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
wx.

Похоже в Симантек вообще положили большой...привет на поддержание утилиты FixTDSS в актуальном состоянии.

TDL4. Мягко говоря не свежий. Симантек его детектирует. Уже давно детектирует. FixTDSS при этом ничего не находит -

3143198m.png

MD5: B5BD3922DCEF32762E2987018BC86222

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator
Это NIS-то 100% детектирует винлоки? Это даже не ФГМ, это гораздо хуже и запущеннее :facepalm:

Статистика компании DrWeb по обращению пользователей, зараженных винлоком

NOD32 - 26%

Dr.Web - 18%

Kaspersky - 11%

Symantec - 2%

Но заметьте, что мы вендор. И пользователи Dr.Web идут к нам в первую очередь.

Это именно распределение обращающихся к нам по вендорам. И стОит учитывать долю продукта на рынке.

http://forum.drweb.com/index.php?s=&sh...st&p=545753

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Статистика компании DrWeb по обращению пользователей, зараженных винлоком

Угу, только доля рынка у Norton в СНГ как капля в море. Отсюда и 2 процента.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator
Угу, только доля рынка у Norton в СНГ как капля в море. Отсюда и 2 процента.

Но если еще учесть, что большинство пользователей ЛК ищут помощь либо в техподдержке ЛК либо на форуме ЛК, то неужели Касперский так плох с винлоками?

11% у стороннего вендора это очень плохо, имхо

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Но если еще учесть, что большинство пользователей ЛК ищут помощь либо в техподдержке ЛК либо на форуме ЛК, то неужели Касперский так плох с винлоками?

11% у стороннего вендора это очень плохо, имхо

Да, только у ЛК больше 50 процентов рынка. По этим цифрам, что Вы привели вообще нельзя ничего сказать. Если уж брать статистику, то с ВИ например. Там хоть более близка к реальности. А эта статистика фуфло.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Угу, только доля рынка у Norton в СНГ как капля в море. Отсюда и 2 процента.

В дефолтных настройках КИС винлоки пропускает, а спец. настройку используют не все, да к тому же при ее использовании могут быть проблемы с другими прогами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
В дефолтных настройках КИС винлоки пропускает, а спец. настройку используют не все, да к тому же при ее использовании могут быть проблемы с другими прогами.

При отсутствии сигнатруного детекта и срабатываниях других компонентов. Это никто не скрывает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND

Народ! Предлагаю лечение винлоков вынести за рамки данной темы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND
Справедливо стоит отметить, что о таких особенностях стоит сообщать юзерам - на коробке\сайте и т.д. Было бы намного правильно (относится не только к Symantec). Мол - для достижения более высокого уровня защиты необходимое постоянное соединение с сетью интернет (ну как то так).

На международном форуме об этом тоже уже написали.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
wx.
А утверждения типа " вот подхватишь с флешки и " - это сплошной бред.

Странно то, что похожие мысли высказывают и сотрудники Symantec, отражая официальную позицию компании - http://community.norton.com/t5/Norton-Inte.../532160#M171522

"While it is true that you can get infected from an infected usb stick, the far majority of infections are through drive by downloads, infected websites, or email. That is why we spend so much time protecting users from such infection vectors. In the future usb sticks will become less and less used. I hardly use them any more."

Очень оригинальное решение - флешки не являются основным источником заражения, в будущем будут использоваться все реже и реже, поэтому мы уже сейчас кладем еще один большой...привет на защиту от вредоносов, которые могут быть запущены со сменных носителей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Странно то, что похожие мысли высказывают и сотрудники Symantec, отражая официальную позицию компании - http://community.norton.com/t5/Norton-Inte.../532160#M171522

"While it is true that you can get infected from an infected usb stick, the far majority of infections are through drive by downloads, infected websites, or email. That is why we spend so much time protecting users from such infection vectors. In the future usb sticks will become less and less used. I hardly use them any more."

Очень оригинальное решение - флешки не являются основным источником заражения, в будущем будут использоваться все реже и реже, поэтому мы уже сейчас кладем еще один большой...привет на защиту от вредоносов, которые могут быть запущены со сменных носителей.

Являлись на ХР, до того как Мелкософт еще весной наконец то запатчило авторун ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa

Убитый авторан это очень хорошо, но у меня сестра поймала червя через сокрытие корневых папок и файлов с последующим созданием ярлыков с иконками этих типов файлов. У нее небыл включен показ скрытых файлов и папок, так как она не продвинутый пользователь и вообще это ей не нужно. Хорошо что NPE всегда под рукой :)

Так что есть еще возможность заразится с флешки даже с отключеным автораном.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
Так что есть еще возможность заразится с флешки даже с отключеным автораном.

Возможность есть, но не zero-day malware. По крайней мере такая ситуация встречается крайне редко. Если рассматривать данную ситуацию на примере продуктов Norton, то тот же червь будет в базах ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
wx.
Являлись на ХР, до того как Мелкософт еще весной наконец то запатчило авторун ;)

Пишите не читая?

В теме на офф. форуме речь шла не об автозапуске. Вы бы прочитали сначала на что отвечает сотрудник Симантек, что ли...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Так что есть еще возможность заразится с флешки даже с отключеным автораном.
Возможность есть, но не zero-day malware. По крайней мере такая ситуация встречается крайне редко. Если рассматривать данную ситуацию на примере продуктов Norton, то тот же червь будет в базах ;)

Rustock.C,

что-то я не понимаю: есть вероятность заразиться "старьем"? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Пишите не читая?

В теме на офф. форуме речь шла не об автозапуске. Вы бы прочитали сначала на что отвечает сотрудник Симантек, что ли...

Флудим :lol:

That is why we spend so much time protecting users from such infection vectors. In the future usb sticks will become less and less used. I hardly use them any more.

Если по словам Symantec USB используются меньше, это не значит, что Symantec не учитывается по умолчанию отключенный Мелкософтом автозапуск.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
Rustock.C,

что-то я не понимаю: есть вероятность заразиться "старьем"? :)

Имелась ввиду возможность в общем смысле заразиться. Есть вероятность, что на флешке будет какой-нибудь гуляющий Kido или Sality, который известен с давних времён и будет в базах Norton'а. Следственно заражения не произойдёт.

Не встречал пока что разновидности ZeroAcess и свежие винлоки, которые распространяются на съемных носителях ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa
Возможность есть, но не zero-day malware. По крайней мере такая ситуация встречается крайне редко. Если рассматривать данную ситуацию на примере продуктов Norton, то тот же червь будет в базах ;)

Какая разница, факт заражения на лицо, и не важно зиро дей это или не зиро дей. Кстати сам термин зиро дей очень расплывчатый. Грубо говоря если АВ пропустил зверька значит он еще зиро дей ибо его тушки еще нет в базе.

Огорчил SONAR, он даже не пикнул при том что трой действительно древний ибо в гос. учереждениях как техника так и вирусы - старые... что еще раз свидетельсвует о том что Symantec в основном нацелена на защиту от веб атак. Вот здесь бы могла помочь файловая эвристика, которой почему то нет в Symantec.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
что еще раз свидетельсвует о том что Symantec в основном нацелена на защиту от веб атак.

Не только от атак, а на защиту от Интернет-угроз в целом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
wx.
Флудим :lol:

Вижу, что флудите, вместо того, чтобы пытаться читать.

А теперь попробуйте осилить еще две строчки, на которые, собственно, и отвечал сотрудник Symantec:

"USB Flash stick is a common source. Think of his zip as a malware resides on usb flash stick.

User plugs the stick , executes the malware and BOOM. system fail !"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Вижу, что флудите, вместо того, чтобы пытаться читать.

А теперь попробуйте осилить еще две строчки, на которые, собственно, и отвечал сотрудник Symantec:

"USB Flash stick is a common source. Think of his zip as a malware resides on usb flash stick.

User plugs the stick , executes the malware and BOOM. system fail !"

Про таких вы говорят "смотрю в книгу, а вижу фигу" :facepalm:

В данном случае передергивают и пытаются доказать какой я "умный" :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND

Если уж ещё внимательней прочесть ту тему, которая тут пошла обсуждаться, то там тот же сотрудник компании пояснил, что в реальности так не бывает, чтоб из обычного zip-архива вирус автостартовал, после чего он уточнил, что автостартующий вирус всё же, что логично, идёт как обычный файл, соответственно, ситуация с zip-архивом - нештатная, т.е. искусственная и редкая. Но даже если она и есть, то архив должен распаковаться перед тем, как вирус запустится, а вот здесь уже его можно и поймать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • santy
      Приветствую, SQx Скажи, в данной системе новые задачи (создаваемые из под Wn11), тоже попадали в папку C:\Windows\System32\Tasks_Migrated или в стандартную C:\Windows\System32\Tasks?
    • SQx
      Здравствуйте,

      Нам недавно попалась интересная тема на cyberforum, в которой дефендер находил вредоносную активность, но при этом утилитам нам не удалось найти.

      Как оказалось майнер восстанавливался из планировщика задач, но не стандартного, а мигрированого: C:\Windows\System32\Tasks_Migrated\Microsoft\Windows\Wininet Хотел бы уточнить у Вас,  если можете добавить его в uVS.

      P.S. Есть идея, что при апгрейде системы в случае если задачи корректно не перенеслись,  появиляется папка Tasks_Migrated. 

      Спасибо.
    • Ego Dekker
      Домашние антивирусы ESET были обновлены до версии 15.2.11.
    • PR55.RP55
    • PR55.RP55
      Microsoft  в Win11 ( на канале Dev.) - добавила новую функцию, позволяющую получить полный список приложений, которые в последнее время запрашивали доступ к конфиденциальной информации, включая камеру, микрофон и контакты. Новая функция также отслеживает программы, получившие за последнюю неделю доступ к данным местоположения, телефонным звонкам, переписке и скриншотам. https://www.comss.ru/page.php?id=10641 Возможно функция (  или её дальнейшее развитие ) будут полезны.      
×